image

Telegram-ceo: backdoors in WhatsApp vermomd als beveiligingslek

maandag 3 februari 2020, 12:08 door Redactie, 34 reacties
Laatst bijgewerkt: 03-02-2020, 13:07

WhatsApp bevat verschillende backdoors die als beveiligingslek zijn vermomd, zo claimt Pavel Durov, oprichter en ceo van berichtendienst Telegram. Naar aanleiding van het nieuws over de inbraak op de iPhone van Amazon-ceo Jeff Bezos stelt Durov dat het gebruik van WhatsApp gevaarlijk is.

Volgens forensisch onderzoekers wisten aanvallers vermoedelijk via een zerodaylek in WhatsApp toegang tot de telefoon van Bezos te krijgen en daar gigabytes aan persoonlijke informatie te stelen. "Gegeven de ernst van de situatie zou je verwachten dat Facebook/WhatsApp excuses zouden maken en beloven om vanaf nu geen backdoors meer aan hun apps toe te voegen. In plaats daarvan stelden ze dat Apple, en niet WhatsApp, de schuldige was", schrijft Durov in een blogposting.

De Telegram-ceo merkt op dat opsporingsdiensten niet blij zijn met encryptie en app-ontwikkelaars dwingen om kwetsbaarheden aan hun apps toe te voegen. "Ik weet dat, omdat we door sommige diensten zijn benaderd en hebben geweigerd mee te werken", laat Durov weten. Daardoor zou Telegram in sommige landen zijn geblokkeerd waar WhatsApp wel is toegestaan. Het gaat dan onder andere om Iran en Rusland.

"Backdoors zijn vaak vermomd als "onbedoelde" beveiligingslekken. In het afgelopen jaar zijn er twaalf van dergelijke kwetsbaarheden in WhatsApp gevonden. Zeven daarvan waren kritiek, zoals degene waardoor Jeff Bezos werd aangevallen", gaat Durov verder. "Sommige mensen vertellen misschien dat WhatsApp nog steeds "zeer veilig" is om te gebruiken, ongeacht dat er in de afgelopen twaalf maanden zeven backdoors in zijn gevonden, maar dat is statistisch gewoon onwaarschijnlijk."

Verder hekelt Durov de manier waarop WhatsApp de end-to-endencryptie heeft geïmplementeerd. Die zou namelijk niet openbaar zijn. "Hun broncode is verborgen en de binaire bestanden van de apps zijn geobfusceerd, wat ze lastiger te onderzoeken maakt", merkt de Telegram-ceo op. Afsluitend stelt Durov dat WhatsApp-gebruikers zich niet moeten laten misleiden. "Ze willen dat je alleen aan de end-to-endencryptie denkt als het enige dat voor privacy belangrijk is. De realiteit is veel ingewikkelder."

Reacties (34)
03-02-2020, 12:22 door Anoniem
Dat hele facebook ook, maar toch blijven we dat met zn allen gewoon gebruiken,.
1 grote reclame fabriek.

Zie je familie en vrienden maar eens over te krijgen op telegram.
03-02-2020, 12:43 door linux4
Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.
03-02-2020, 12:53 door Anoniem
Door linux4: Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.

Twijfel is heel gezond, maar doe dan het benodigde onderzoek, ipv je geloof te propageren.

Wij doen het onderzoek en gebruiken ook methoden om eventueel afluisteren te detecteren. Bij Whatsapp regelmatig alarmbellen, bij Telegram en Signal nog niet.
03-02-2020, 12:57 door Anoniem
Ik hoop dat deze CEO niet op vakantie in Noorwegen gaat ;-)
03-02-2020, 13:09 door Anoniem
Klinkt mij meer als een gevalletje :de pot verwijt de ketel......
03-02-2020, 13:20 door Anoniem
Signal broncode staat hier. https://github.com/signalapp/Signal-Server

Paranoïde gedachten:
Wat je niet weet is of de signal servers die de signal client app gebruikt een aanpassing heeft op de op github aangeboden broncode.

De praktijk is zo dat in de digitale wereld privacy ondergeschikte is om diverse redenen. Voorbeelden genoeg op security.nl.

Hoe kunnen mensen dag vertrouwen dat ze tools gebruiken die hun privacy respecteert. Openbaarheid van broncode helpt. Vechten voor universele rechten voor de mensen helpt.
03-02-2020, 13:22 door Anoniem
Door linux4: Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.

WhatsApp gebruikt een zwakkere, uitgeklede, variant van de versleuteling die Signal gebruikt.
Signal daarentegen gebruikt de volledige versleuteling en is daarmee dus completer dan WhatsApp v.w.b. versleuteling.
03-02-2020, 13:45 door Anoniem
Door linux4: Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.
De e2e methode van Whatsapp is weliswaar gebaseerd op die van Signal, alleen wel anders geimplementeerd. Vergelijk alleen maar de mogelijkheid tot het gebruik van een webpagina (Whatsapp) met het enkel ondersteuenen van client applicaties (android/iOS/Windows/OSX/Linux). Daar zitten wezenlijk andere security implimentaties en filosofieen achter.
03-02-2020, 13:46 door The FOSS
Verder hekelt Durov de manier waarop WhatsApp de end-to-endencryptie heeft geïmplementeerd. Die zou namelijk niet openbaar zijn. "Hun broncode is verborgen en de binaire bestanden van de apps zijn geobfusceerd, wat ze lastiger te onderzoeken maakt", merkt de Telegram-ceo op.

Dergelijke closed source oplossingen zijn niet meer van deze tijd. Vereist is dat je de broncode gewoon kan inzien en dat wijzigingen met versiebeheer inzichtelijk worden gemaakt. Met name wanneer gevoelige gegevens in het spel zijn.

Open source end-to-end encryption messengers: https://medevel.com/10-end-2-end-messengers/
03-02-2020, 13:54 door Briolet
Door The FOSS:Dergelijke closed source oplossingen zijn niet meer van deze tijd. Vereist is dat je de broncode gewoon kan inzien en dat wijzigingen met versiebeheer inzichtelijk worden gemaakt. Met name wanneer gevoelige gegevens in het spel zijn.

Dan heeft het nog steeds geen zin als het opzettelijk aangebrachte backdoors zijn. Ik kan heel gemakkelijk een veilige open source code publiceren, maar in mijn compiler omgeving code mee laten compileren die ik bewust nooit met de open source synchroniseer.

De gebruikers zullen dan toch echt zelf WhatsApp moeten gaan compileren, wat ik niet snel zie gebeuren.
03-02-2020, 14:23 door Anoniem
Door linux4: Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.

Dat maakt niet uit of WhatsApp Signals versleuteling gebruikt als je er backdoors in zit te programmeren. Was die eigenaar van WhatsApp niet opgestapt bij Facebook? Misschien omdat hij het niet eens was met de backdoor policy.
03-02-2020, 14:40 door Anoniem
Uiteraard is het de schuld van Apple zelf. Mark zegt zelf dat zijn eigen gebruikers dom zijn omdat zij gebruik maken van de diensten. Dat zei hij in een oud filmpje bij de opkomst van facebook. Daarnaast genoeg verteld door veiligheids - en privacyexperten wat whatsapp precies is. (lees: bijna iedere dag *zucht*) Bij deze heeft Apple gezakt qua privacy/veiligheid. Voor mij een iprul? Nope.
03-02-2020, 14:40 door Anoniem
Door Briolet:
Door The FOSS:Dergelijke closed source oplossingen zijn niet meer van deze tijd. Vereist is dat je de broncode gewoon kan inzien en dat wijzigingen met versiebeheer inzichtelijk worden gemaakt. Met name wanneer gevoelige gegevens in het spel zijn.

Dan heeft het nog steeds geen zin als het opzettelijk aangebrachte backdoors zijn. Ik kan heel gemakkelijk een veilige open source code publiceren, maar in mijn compiler omgeving code mee laten compileren die ik bewust nooit met de open source synchroniseer.

De gebruikers zullen dan toch echt zelf WhatsApp moeten gaan compileren, wat ik niet snel zie gebeuren.
Nee, uiteindelijk is het gebaseerd op vertrouwen en reputatie. En die moet je beide opbouwen. En vertrouwen en reputatie opbouwen kost moeite, duurt lang, en kan snel teniet gedaan worden als er nieuwe informatie aan het licht komt.

Echter... De subset van gebruikers die die reputatie en dat vertrouwen weten te interpreteren en op waarde weten te schatten is een dermate klein gedeelte van de totale gebruikersgroep dat het niet interessant is voor mainstream applicaties om zich daarop te richten. Stel dat 1 op de 100 mensen besluit Whatsapp niet te gebruiken vanwege privacy-bezwaren, dan maakt dat geen noemenswaardige deuk in de totale hoeveelheid gebruikers.

Blijft een uphill battle dus.
03-02-2020, 15:03 door Anoniem
Door linux4: Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.

Het systeem is Open Whisper Systems (Signal Protocol) dat mede is bedacht door Moxie Marlinspike:
https://en.wikipedia.org/wiki/Signal_(software)

Maar WhatsApp verbergt de feitelijke toepassing daarvan in haar closed source:
https://www.security.nl/posting/641106/Onderzoeker%3A+via+WhatsApp+gedownloade+media+te+ontsleutelen

Reactie 27-01-2020, 17:23 door Anoniem :
".. Op https://asamborski.github.io/cs558_s17_blog/2017/03/09/whatsapp.html is als voorbeeld een uitleg te vinden dat Whatsapp de End-To-End beveiligde berichten kan ontsleutelen met de bij Whatsapp bekende private-key van de ontvanger en vervolgens met de public-key van de ontvanger het bericht opnieuw kan vercijferen en naar de ontvanger kan sturen .."

Reactie 28-01-2020, 09:09 door Anoniem
".. Op https://medium.com/@pepelephew/a-look-at-how-private-messengers-handle-key-changes-5fd4334b809a kun je een goede uitleg en procedures vinden voor alle messengers om zelf te kunnen controleren dat messenger niet End-to-End secure kan zijn.

Wanneer je de test voor WhatsApp uitvoerd dat blijkt dat Whatsapp in staat is om een ¨message in flight¨ dat versleuteld is met een oude public-key te decrypten met de bijbehorende oude private-key en opnieuw te encrypten met de nieuwe public-key. Dit bewijst dat WhatsApp de private-key heeft. Bij Signal lukt dit niet. Dit is bijvoorbeeld de reden dat militairen in het amerikaanse leger WhatsApp niet mogen gebruiken en Signal wel.

Je kunt met deze procedure zelf de messengers WhatsApp, Signal, Telegram, Wire en Allo controleren .."
03-02-2020, 15:52 door Anoniem
Door Briolet: De gebruikers zullen dan toch echt zelf WhatsApp moeten gaan compileren, wat ik niet snel zie gebeuren.
Dat probleem kan verholpen worden door een combinatie van Reproducible Builds en Binary Transparancy. Doordat iedere compilatie dezelfde binary compileert en iedereen kan verifieren dat dit de enige uitgegeven binary is, heb je genoeg aan de broncode om vast te stellen dat er geen backdoored versies in omloop zijn.

Op het moment nog toekomst muziek, maar ik hoop dat binnen enkele jaren dit wel gemeen goed zal worden.

[0] https://en.wikipedia.org/wiki/Reproducible_builds
[1] https://wiki.mozilla.org/Security/Binary_Transparency
03-02-2020, 16:06 door The FOSS - Bijgewerkt: 03-02-2020, 16:59
Door Briolet:
Door The FOSS:Dergelijke closed source oplossingen zijn niet meer van deze tijd. Vereist is dat je de broncode gewoon kan inzien en dat wijzigingen met versiebeheer inzichtelijk worden gemaakt. Met name wanneer gevoelige gegevens in het spel zijn.

Dan heeft het nog steeds geen zin als het opzettelijk aangebrachte backdoors zijn. Ik kan heel gemakkelijk een veilige open source code publiceren, maar in mijn compiler omgeving code mee laten compileren die ik bewust nooit met de open source synchroniseer.

De gebruikers zullen dan toch echt zelf WhatsApp moeten gaan compileren, wat ik niet snel zie gebeuren.

Reproducible builds. Veel open source software wordt al zo gebouwd. Onder andere Debian, Tails, Tor Browser, Qubes OS, etc.

The motivation behind the Reproducible Builds project is therefore to allow verification that no vulnerabilities or backdoors have been introduced during this compilation process. By promising identical results are always generated from a given source, this allows multiple third parties to come to a consensus on a “correct” result, highlighting any deviations as suspect and worthy of scrutiny.

https://reproducible-builds.org/who/
03-02-2020, 16:10 door Anoniem
De boodschap is eigenlijk: "Heeft u niets te verbergen? Gebruik dan Whatsapp..."
03-02-2020, 16:35 door karma4
Door The FOSS: ….Reproducible builds[. Veel open source software wordt al zo gebouwd. Onder andere Debian, Tails, Tor Browser, Qubes OS, etc. ...
Helpt geen zier geen het citrix lek dat op bsd draait. Alleen als je de hele stack kan overzien heb je een kans.
Gezien het aantal code regels is dat voor een mens niet te doen. Dat was als fundamenteel probleem als in de jaren 70 als gegeven geaccepteerd. Jammer die terugval in een geloof dat als je het zou kunnen zien dat hat dan magisch wel veilig is.
03-02-2020, 17:05 door Anoniem
Door Anoniem: Klinkt mij meer als een gevalletje :de pot verwijt de ketel......

Dat dit normaal word gevonden is geen reden om hetzelfde te doen voor iedereen.
Als 1% goed is kun je niet zo denken, of je moet een voorbeeld hebben.
03-02-2020, 17:16 door Anoniem
Door karma4:
Door The FOSS: ….Reproducible builds[. Veel open source software wordt al zo gebouwd. Onder andere Debian, Tails, Tor Browser, Qubes OS, etc. ...
Helpt geen zier geen het citrix lek dat op bsd draait. Alleen als je de hele stack kan overzien heb je een kans.
Gezien het aantal code regels is dat voor een mens niet te doen. Dat was als fundamenteel probleem als in de jaren 70 als gegeven geaccepteerd. Jammer die terugval in een geloof dat als je het zou kunnen zien dat hat dan magisch wel veilig is.

Als je bijvoorbeeld de PDP-11 neemt https://nl.wikipedia.org/wiki/PDP-11. Deze had door adres limitaties maximaal 64 KB geheugen om het programma uit te voeren. Dit is heel overzichtelijk voor programmeurs. Een paar dagen en een paar sterke koppen koffie is genoeg om alle code even door te spitten.

Als meerdere programmeurs dit doen voor langere tijd, heb je na een tijdje alle bugs (en backdoors) er wel uit.

Tegenwoordig zitten er volledige operating systems in moderne processors. Neem daar de UEFI bij, en er is een hoop om te checken voordat je zelfs maar aan de code van Whatsapp toekomt.
03-02-2020, 18:20 door Anoniem
Nog een reden om met z'n allen over te stappen op Matrix.org ????
03-02-2020, 19:13 door linux4
Door Anoniem:
Door linux4: Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.

Twijfel is heel gezond, maar doe dan het benodigde onderzoek, ipv je geloof te propageren.

Wij doen het onderzoek en gebruiken ook methoden om eventueel afluisteren te detecteren. Bij Whatsapp regelmatig alarmbellen, bij Telegram en Signal nog niet.

Als de Telegram CEO zijn directe concurrent zo afkraakt ruikt dat een beetje naar propaganda voor mij.

Wij doen onderzoek? Wie zijn "wij"? Anoniem?
03-02-2020, 20:52 door Anoniem
Door Anoniem: Klinkt mij meer als een gevalletje :de pot verwijt de ketel......
Het probleem is eerder dat facebook zo'n enorme propagandamachine is, dat ze kunnen doen waar ze zin in hebben en er gewoon mee wegkomen.
Die paar boetes zijn voor de show en hooguit wat speldenprikjes voor facebook, daar ligt die zuckerborg echt niet wakker van.
03-02-2020, 20:57 door Anoniem
Door The FOSS:
"Hun broncode is verborgen en de binaire bestanden van de apps zijn geobfusceerd, wat ze lastiger te onderzoeken maakt", merkt de Telegram-ceo op.

Dergelijke closed source oplossingen zijn niet meer van deze tijd. Vereist is dat je de broncode gewoon kan inzien en dat wijzigingen met versiebeheer inzichtelijk worden gemaakt.
Daarnaast moet de binary ook exact via die sourcecode te hercompileren zijn, op een verifieerbare manier. Dus 'Reproducable builds', en dat is pas het begin.
03-02-2020, 21:02 door Anoniem
Door Briolet:
Door The FOSS:Vereist is dat je de broncode gewoon kan inzien en dat wijzigingen met versiebeheer inzichtelijk worden gemaakt.
De gebruikers zullen dan toch echt zelf WhatsApp moeten gaan compileren, wat ik niet snel zie gebeuren.
Dat kunnen ook meerdere trusted 3rd-parties zijn. Hoe je die trust bepaalt, is dan weer wel een punt, maar je kan de gecompileerde binaries in elk geval analyseren en vergelijken (want die zullen echt niet identiek zijn).
03-02-2020, 22:27 door Anoniem
Nou ik gebruik alleen wel eens telegram en whatsapp,voor de rest geen sociale netwerken.
03-02-2020, 23:45 door Anoniem
Door Anoniem:
Door linux4: Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.

WhatsApp gebruikt een zwakkere, uitgeklede, variant van de versleuteling die Signal gebruikt.
Signal daarentegen gebruikt de volledige versleuteling en is daarmee dus completer dan WhatsApp v.w.b. versleuteling.

Enige bron hiervoor ?
Voor zover ik weet heeft Moxie Marlinspike met een team engineers van Whatsapp de zelfde versleuteling toegepast als Signal heeft.
04-02-2020, 00:16 door Anoniem
Door linux4: Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.

Aan geloven heb je niet zoveel.
04-02-2020, 06:46 door Anoniem
Door linux4:
Door Anoniem:
Door linux4: Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.

Twijfel is heel gezond, maar doe dan het benodigde onderzoek, ipv je geloof te propageren.

Wij doen het onderzoek en gebruiken ook methoden om eventueel afluisteren te detecteren. Bij Whatsapp regelmatig alarmbellen, bij Telegram en Signal nog niet.

Als de Telegram CEO zijn directe concurrent zo afkraakt ruikt dat een beetje naar propaganda voor mij.

Wij doen onderzoek? Wie zijn "wij"? Anoniem?

Hebben ze van Microsoft en Google afgekeken.
04-02-2020, 09:20 door Anoniem
Ik had na aanmelding bij Telegram meteen vreemde telefoontjes uit vreemde oorden. Dus Telegram is niet veel beter dan Whatsapp. De één is Amerikaans en de ander Russisch. Allemaal willen ze info van je en zijn geen haar beter dan de ander...
04-02-2020, 09:47 door Happy Linux User
Door linux4: Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.

Maar het versleutelen staat los van de achterdeurtjes.
04-02-2020, 09:54 door Anoniem
Door Anoniem:
Door linux4: Twijfel er niet aan dat WhatsApp "onbedoelde" backdoors heeft maar ik geloof niet dat Telegram zoveel veiliger is.

Wel vraag ik me af hoe het dan met Signal zit, WhatsApp gebruikt immers hun systeem voor versleuteling.

Twijfel is heel gezond, maar doe dan het benodigde onderzoek, ipv je geloof te propageren.

Wij doen het onderzoek en gebruiken ook methoden om eventueel afluisteren te detecteren. Bij Whatsapp regelmatig alarmbellen, bij Telegram en Signal nog niet.


Alleen roepen dat je "onderzoekt " en vervolgens je geloof alsnog te propageren.

Laat me raden? Dat "Onderzoek" is niet inkijkbaar.
04-02-2020, 19:07 door Anoniem
Door Anoniem: De één is Amerikaans en de ander Russisch. Allemaal willen ze info van je en zijn geen haar beter dan de ander...
Telegram is niet Russisch. Hun servers staan overigens in het VK. Mooiere plek bestaat sinds kort bijna niet; geen VS, geen EU (meest gevaarlijke), geen RF en geen PRC.
04-02-2020, 22:36 door linux4 - Bijgewerkt: 04-02-2020, 22:40
Door Anoniem:
Door Anoniem: De één is Amerikaans en de ander Russisch. Allemaal willen ze info van je en zijn geen haar beter dan de ander...
Telegram is niet Russisch. Hun servers staan overigens in het VK. Mooiere plek bestaat sinds kort bijna niet; geen VS, geen EU (meest gevaarlijke), geen RF en geen PRC.

VK een mooie plek voor hun servers? Lees dit maar even. https://www.vpngids.nl/privacy/anoniem-browsen/5-eyes-9-eyes-14-eyes/ Je servers moeten in elk geval niet in één van deze 14 landen staan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.